Un'ispezione effettuata dal garante europeo della protezione dei dati (EDPS) sui siti web delle principali istituzioni e organi dell'UE ha rivelato problemi di protezione dei dati e di sicurezza dei dati in sette dei dieci siti Web controllati. Ciascuna delle istituzioni interessate ha ricevuto raccomandazioni dal EDPS su come garantire che i propri siti Web siano pienamente conformi alle norme sulla protezione dei dati e le istituzioni competenti hanno reagito rapidamente per iniziare a correggere i problemi identificati.
Giovanni Buttarelli, EDPS, ha dichiarato: "Le risposte a questa ispezione a distanza sono state rassicuranti. Le istituzioni dell'UE responsabili dei siti Web più importanti ci hanno informato delle misure tecniche che hanno implementato per ridurre significativamente i rischi per la sicurezza e la privacy rilevati durante la nostra ispezione. Abbiamo già ricevuto feedback positivi dalle istituzioni ispezionate riguardo alle nostre raccomandazioni e ci aspettiamo di essere in grado di confermare che tutti i problemi rimanenti siano risolti in un'ispezione di follow-up".
L'ispezione del EDPS ha riguardato la conformità alla protezione dei dati dei servizi web pubblici, compresi i siti Web, controllati dalle istituzioni e dagli organi dell'UE, esclusa la loro presenza sui social network. Ha valutato la conformità con il regolamento 2018/1725, che stabilisce le norme sulla protezione dei dati per le istituzioni e gli organi dell'UE, la direttiva e / privacy 2002 / 57CE e le raccomandazioni fornite alle istituzioni e agli organi dell'UE dal EDPS nelle sue linee guida sui servizi web, pubblicate nel il 2016.
Per la prima ondata di ispezioni, tenutasi nell'agosto 2018, l’EDPS ha selezionato dieci siti Web pubblici, compresi quelli gestiti dalle maggiori istituzioni e organismi dell'UE e quelli che, a causa della natura del loro lavoro, dovrebbero applicare una particolare cautela nel di dati personali. Siti web inclusi quelli del Parlamento europeo, il sito web condiviso del Consiglio europeo e del Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'UE, Europol e l'Autorità bancaria europea. L’EDPS ha inoltre ispezionato i siti web dell'European Data Protection Board (EDPB), la Conferenza internazionale dei garanti della privacy e della protezione dei dati (ICDPPC 2018) del 2018 e il sito web del EDPS stesso.
Per effettuare l'ispezione, l’EDPS ha sviluppato un programma che raccoglie automaticamente le informazioni sull'elaborazione dei dati personali da parte dei siti Web. Queste informazioni includono l'uso di cookie, web beacon, elementi di pagina caricati da terze parti e la sicurezza delle connessioni crittografate (HTTPS).
L'ispezione ha rivelato che diversi siti Web non erano conformi al regolamento o alla direttiva e-privacy e non seguivano le linee guida del EDPS sui servizi web. Uno dei problemi riscontrati era il tracciamento di terze parti senza il previo consenso. Ciò è particolarmente problematico nei casi in cui la terza parte in questione opera secondo un modello di business basato sulla profilazione e sul successivo targeting comportamentale dei visitatori del sito web. Altri problemi riscontrati includono l'uso di tracker per l'analisi dei dati web senza il previo consenso dei visitatori e l'invio di dati personali raccolti tramite moduli Web utilizzando connessioni non crittografate.
Come conseguenza dei risultati delle ispezioni del EDPS, tutte le istituzioni dell'UE ispezionate forniscono ora connessioni HTTPS sicure e hanno ridotto significativamente il numero di inseguitori di terze parti che utilizzano. I risultati sommari dell'ispezione sono stati presentati dal EDPS e discussi con la rete di responsabili della protezione dei dati nelle istituzioni dell'UE.
L’EDPS seguirà gli sforzi delle istituzioni dell'UE ispezionate mentre continuerà anche le ispezioni sui siti Web nei mesi a venire. La prossima ondata di ispezioni del sito Web si concentrerà sui siti Web più visitati delle istituzioni e degli organismi dell'UE.
Fonte: "European Data Protection Supervisor - The EU's independent data protection authority"